多要素認証を回避しMicrosoftアカウントを狙うサイバー攻撃に注意
マイナビニュース / 2024年10月10日 10時21分
Sekoiaは10月7日(現地時間)、「Mamba 2FA: A new contender in the AiTM phishing ecosystem - Sekoia.io Blog」において、中間者攻撃(AiTM: Adversary-in-The-Middle)を実行するフィッシングキット「Mamba 2FA」を発見したとして、その分析結果を伝えた。このフィッシングキットはMicrosoftアカウントの認証情報とCookieを窃取可能だという。
○Mamba 2FAの概要
Sekoiaによると、Mamba 2FAはTelegram上でフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)として販売されているフィッシングキットだという。月額250ドルと比較的安価で提供されており、2023年11月以降のフィッシングキャンペーンにて使用されたことが確認されている。
被害者の誘導には、メールの添付ファイルやストレージサービスから配布されるHTMLファイルを使用する。HTMLファイルは無害なコンテンツの中に悪意のあるJavaScriptを含み、表示するとフィッシングサイトにリダイレクトされる。フィッシングサイトはOneDrive、SharePoint、ボイスメールまたは通常のMicrosoftサイトを模倣したサインインページを表示する。
Mamba 2FAには次の機能があり、一部の多要素認証(MFA: Multi-Factor Authentication)を回避してMicrosoftアカウントの認証情報とCookieを窃取する。
ワンタイムパスワードやアプリの通知など、フィッシング耐性のない多要素認証を中間者攻撃により処理(回避)できる
Entra ID、Active Directoryフェデレーションサービス(AD FS)、サードパーティーのシングルサインオン(SSO: Single Sign On)、コンシューマー向けMicrosoftアカウント(Outlook、OneDriveなど)をサポートする
エンタープライズアカウントの場合、動的にカスタムログインページ(ロゴ、背景画像)を反映できる
フィッシングサイトはセキュリティ企業による自動検出をブロックする
○対策
Mamba 2FAの管理者はフィッシングサイトのURLを約1週間で変更することが確認されている。そのため、セキュリティソリューションによるブラックリスト方式の保護は機能しないと考えられる。
また、中間者攻撃に使用するリレーサーバも2024年10月以降は商用プロキシーサーバ「IPRoyal」を経由するようになり、直接は検出できないとされる。Sekoiaは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)にてリレーサーバのIPアドレスを公開しているが、これらを利用しての防御は効果がないと推測される。
これらのことからこの攻撃を回避するために、Microsoftアカウントを保有するユーザーにはフィッシングメールなどを通じて配布されるHTMLファイルを開かないことが推奨される。何らかの事情で開く必要がある場合は、悪意のあるJavaScriptが含まれていないか徹底的に調査するか、または送信元ユーザーに安全な手段で確認することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
アイフルを偽るフィッシング確認、注意を
マイナビニュース / 2024年10月8日 17時16分
-
JCBを偽るフィッシング確認、注意を
マイナビニュース / 2024年10月4日 15時32分
-
Androidに偽ウォレットアプリ、5カ月で1万回ダウンロード
マイナビニュース / 2024年9月28日 13時41分
-
2024年上半期サイバーセキュリティレポートを公開 脆弱性を悪用したカスタムツールGooseEggや世界的シェアを持つWordPressを狙った攻撃事例を解説
PR TIMES / 2024年9月24日 14時15分
-
GitHubを悪用してマルウェア配布、不審な通知メールに注意
マイナビニュース / 2024年9月24日 11時43分
ランキング
-
1Xのブロック機能や規約の変更後、Blueskyに50万人の新規ユーザー
ITmedia NEWS / 2024年10月19日 10時31分
-
2めざましテレビが「まいたけダンス」紹介→元ネタのVTuberに触れずさまざまな意見 「何も紹介が無いのは違う」「フリー素材扱いしたかったのかな?」
ねとらぼ / 2024年10月16日 17時34分
-
3「タップで早送り」「簡単操作で2倍速」YouTubeアプリを使いこなす!知って得する5つの裏技
よろず~ニュース / 2024年10月19日 11時0分
-
4【無料ゲーム】アマゾン「Prime Gaming」2024年10月の特典はこれだ
ASCII.jp / 2024年10月15日 17時0分
-
5リアム・ペインの急死巡り、“生みの親”と恋人へ批判が集中 「あなたのせい」「真実を話せ」と炎上状態に
ねとらぼ / 2024年10月18日 14時35分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください